Active Directory: Password policy-PSO

Februar 7, 2021 admin 0 Comments

Einführung

In diesem Tutorial erfahren Sie, wie Sie Kennwortrichtlinien in einem Active Directory für Benutzerkonten definieren.

Standardmäßig ist die Kennwortrichtlinie in der GPO-Standarddomänenrichtlinie definiert, die auf alle Computer in der Domäne angewendet wird, wodurch die Richtlinie für alle Benutzer gleich ist.,

Abhängig von den Benutzern möchten Sie aus Sicherheitsgründen möglicherweise eine komplexere Kennwortrichtlinie anwenden, z. B. Mitglieder der Gruppe Domänenadministratoren.

Dazu verwenden wir das Password Settings Object (PSO), ein Active Directory-Objekt, das eine Passwortstrategie enthält, die auf eine oder mehrere Benutzergruppen angewendet werden kann.

Kennwortrichtlinien werden über die ADAC-Konsole konfiguriert.,

Jede Kennwortrichtlinie hat eine Priorität.

Um dieses Tutorial zu veranschaulichen, erstellen wir zwei Strategien, die erste wird auf die Domänenbenutzergruppe mit einer Priorität von 99 angewendet und die zweite wird auf die Grp_Users_IT-Gruppe angewendet, die eine Priorität von 98 hat.,

Die Richtlinien (PSO) werden im Kennworteinstellungscontainer 1 (PSC) gespeichert: DOMÄNE / System

Kennwortrichtlinien verwalten Sie auch die Sperrung von Konten bei schlechtem Passwort.

Erstellen Sie eine Kennwortrichtlinie

Klicken Sie im PSC-Container auf Neu 1 und dann auf Kennworteinstellungen 2.,

Konfigurieren Sie die Einstellungen der Kennwortrichtlinie, indem Sie die mit einem *gekennzeichneten Felder ausfüllen.

Kennwortlebensdauer in Tag(e) vor Ablauf und Änderung wird erzwungen

Konfigurieren Sie nun, auf wen das Skript angewendet wird.

Wählen Sie die Benutzergruppe (N) 1 und klicken Sie auf OK 2.

Die Gruppe ist Hinzugefügt, 1, klicken Sie auf OK 2, um die Strategie.

Die 1 Richtlinie zum container Hinzugefügt wird.,

Erstellen Sie eine zweite Strategie

Dieser Teil ist optional.

Folgen Sie dem gleichen Prozess wie die erste Strategie, die zweite Strategie hat eine niedrigere Priorität (98), eine Länge von 10 und wird auf die Grp_Users_IT-Gruppe angewendet.,

Wenn ein Benutzer in dieser Konfiguration Teil der Gruppe Grp_Users_IT ist, muss das Kennwort 10 Zeichen lang sein und für andere Benutzer muss das Kennwort 7 Zeichen lang sein.

Identifizieren Sie die Passwortstrategie, die angewendet wird

Es gibt verschiedene Möglichkeiten zu identifizieren, welche Richtlinie auf einen Benutzer oder eine Gruppe angewendet wird.,

Kennwortrichtlinie eines Benutzers identifizieren

Klicken Sie weiterhin in der ADAC-Konsole mit der rechten Maustaste auf den Benutzer 1 und klicken Sie auf Anzeige der resultierenden Kennworteinstellungen 2.

Die Passwortrichtlinie wird geöffnet:

Identifizieren Sie eine Gruppenpasswortrichtlinie

Klicken Sie mit der rechten Maustaste auf die Gruppe 1 und dann auf Eigenschaften 2.,

Wenn eine oder mehrere Kennwortrichtlinien für die Gruppe gelten, wird sie im Abschnitt Direkt verknüpfte Kennworteinstellungen angezeigt.

Weisen Sie einer Gruppe eine vorhandene Kennwortrichtlinie zu

Gehen Sie in den Eigenschaften einer Gruppe zu den direkt zugeordneten Kennwortparametern 1 Abschnitt und klicken Sie auf die Schaltfläche 2 zuweisen.,

Wählen Sie das PSO-1-Objekt zuweisen, und klicken Sie auf OK 2.

Die Richtlinie wird der Gruppe hinzugefügt.

Testen Sie die Anwendung der Kennwortrichtlinie

Um die Anwendung der Kennwortrichtlinie zu testen, ist es möglich, einen Benutzer im Active Directory zu erstellen, der die Bedingungen des PSO nicht einhält.,

Zur Erinnerung: Die vom GPO definierte Standardrichtlinie besteht aus 7 Zeichen, und eine PSO-Richtlinie, die für alle Benutzer (Domänenbenutzer) gilt, wurde mit einer 8-stelligen Anforderung erstellt.

Unten ein neuer Benutzer mit einem Passwort mit 7 Zeichen:

Bei der Validierung der Erstellung des Benutzers wird eine Fehlermeldung angezeigt, die anzeigt, dass das Passwort nicht mit den Kriterien übereinstimmt.,

PSO-Passwortrichtlinien mit PowerShell

Les PSO peuvent être administrées avec des Cmdlets PowerShell.

Der Befehl New-ADFineGrainedPasswordPolicy erlaubt die Erstellung einer Strategie.

Mit dem Befehl Add-ADFineGrainedPasswordPolicySubject kann die Strategie mit einer Gruppe oder einem Benutzer verknüpft werden.

Add-ADFineGrainedPasswordPolicySubject AdminsDuDomaine -Subjects "Admins du domaine"

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Champ Commentaire
Name Passwort politik name
Priorität Gewicht für die anwendung der strategie, die niedrigsten hat priorität.,
Passwort muss Komplexitätsanforderungen erfüllen Das Passwort muss 3 Arten von Zeichen aus den 4 verfügbaren enthalten
– Tiny
– Großbuchstabe
– Anzahl
– Sonderzeichen
Mindestalter des Passworts anwenden Mindestlebensdauer des Passworts in Tag(e), bevor es erneut geändert werden kann
Höchstalter des Passworts anwenden Maximalalter des Passworts anwenden
Kontosperrrichtlinie anwenden Konfiguration der Anzahl fehlgeschlagener Verbindungsversuche und der Sperrzeit.,